XssSniper是谷歌瀏覽器插件中一款優(yōu)秀的xss漏洞檢測(cè)工具。這款軟件可以幫助安全人員發(fā)現(xiàn)隱藏于網(wǎng)頁中的DomXSS、反射式XSS、JONP XSS以及SOME漏洞，非常實(shí)用。

【軟件介紹】

本擴(kuò)展采用了兩種方法去檢測(cè)DOMXSS。
第一種方法:FUZZ
這種檢測(cè)方法誤報(bào)率非常低,只要是檢測(cè)出來的一定都是都是存在漏洞的。但是代價(jià)是漏報(bào)率也比較高。 具體來說是在當(dāng)前頁面中創(chuàng)建一個(gè)隱形的iframe,在這個(gè)iframe中采用不同字符組合截?cái)嗟膒ayload去fuzz當(dāng)前頁面中的每個(gè)url參數(shù),以及l(fā)ocation.hash參數(shù)。如果payload執(zhí)行,說明漏洞一定存在。
第二種方法:監(jiān)控js錯(cuò)誤變化
如果xss存在方式比較隱蔽,或者需要非常復(fù)雜的字符組合來截?cái)嗟脑?payload是無法正常執(zhí)行的,然而盡管如此,payload可能會(huì)引發(fā)一些js語法異常,擴(kuò)展只需要檢測(cè)這些異常就可以。然后提示用戶錯(cuò)誤位置,錯(cuò)誤內(nèi)容,錯(cuò)誤的行數(shù),讓用戶手工去 因此以這種方式檢測(cè)XSS,漏報(bào)少,但是代價(jià)是誤報(bào)較高。

【使用說明】

方法一：.crx文件格式插件安裝
1.首先用戶點(diǎn)擊谷歌瀏覽器右上角的自定義及控制按鈕，在下拉框中選擇設(shè)置。
2.在打開的谷歌瀏覽器的擴(kuò)展管理器最左側(cè)選擇擴(kuò)展程序或直接輸入：chrome://extensions/
3.找到自己已經(jīng)下載好的Chrome離線安裝文件xxx.crx，然后將其從資源管理器中拖動(dòng)到Chrome的擴(kuò)展管理界面中，這時(shí)候用戶會(huì)發(fā)現(xiàn)在擴(kuò)展管理器的中央部分中會(huì)多出一個(gè)”拖動(dòng)以安裝“的插件按鈕。
4.松開鼠標(biāo)就可以把當(dāng)前正在拖動(dòng)的插件安裝到谷歌瀏覽器中去，但是谷歌考慮用戶的安全隱私，在用戶松開鼠標(biāo)后還會(huì)給予用戶一個(gè)確認(rèn)安裝的提示。
5.用戶這時(shí)候只需要點(diǎn)擊添加按鈕就可以把該離線Chrome插件安裝到谷歌瀏覽器中去，安裝成功以后該插件會(huì)立即顯示在瀏覽器右上角（如果有插件按鈕的話），如果沒有插件按鈕的話，用戶還可以通過Chrome擴(kuò)展管理器找到已經(jīng)安裝的插件。
方法二：文件夾格式插件安裝
1.首先用戶點(diǎn)擊谷歌瀏覽器右上角的自定義及控制按鈕，在下拉框中選擇設(shè)置。
2.在打開的谷歌瀏覽器的擴(kuò)展管理器最左側(cè)選擇擴(kuò)展程序。
3.勾選開發(fā)者模式，點(diǎn)擊加載已解壓的擴(kuò)展程序，將文件夾選擇即可安裝插件。